حول WHSR ضيف
كتب هذا المقال مساهٍ ضيف. وجهات نظر المؤلف أدناه هي خاصة به ، وقد لا تعكس آراء WHSR.
الاتصال:
لا تنطوي الجريمة ضد الشركات والخدمات وتجار التجزئة عادةً على أعمال تجارية فعلية كما اعتادت على ذلك. بدلا من ذلك ، ما نجد أنه ارتفاع في الجريمة السيبرانية من كل من "المستقلين" والنقابات الاختراق. انهم يريدون معلومات المستخدم الحساسة لبيع لصوص الهوية (أو استخدام أنفسهم).
ومع ذلك ، ماذا عن العواقب القانونية على الشركات التي تقع ضحية لهذه الهجمات؟ هل لديهم مسؤولية لحماية المعلومات؟ وما مدى تلك المسؤولية؟
الجواب القصير ، ذلك يعتمد. في معظم المجتمعات الحديثة ، هناك عدد قليل جدا من حالات القطع والمجفف عندما يتعلق الأمر بالمسؤولية. هناك درجات من المعقولية ، والدينونة ومسائل الحجم للنظر فيها. بالنظر إلى أن المواقع يمكن التعامل مع الملايين من المستخدمين و قدرا كبيرا من المال على أساس منتظم ، وبالتالي ملايين من المعلومات الخاصة المحتملة ، فإن الإجابة الواضحة مستحيلة.
كملاحظة ، فإن معظم ما حدث قد تم تطبيقه في الغالب على الشركات الكبيرة ، ولكن إذا كنت تدير شركة صغيرة (تستند إلى الويب أو غير ذلك) ، فسيتم تطبيق معظم القوانين نفسها في حالة تعرض موقعك الإلكتروني لخطر الاختراق.
دعنا نلقي نظرة على عدد قليل من الحالات السابقة والمخالفات لتحديد مخاطرك بشكل أفضل:
لنفترض ، من الناحية النظرية ، أن نشاطك التجاري قد وقع ضحية لخرق البيانات. قبل حضورك للضرر ، تحتاج إلى تحديد نطاق الهجوم. كيف واحد يفعل هذا؟
يمكن أن المقياس أيضا أهمية كبيرة. يتم فرض العديد من المستوطنات والغرامات على كل شخص متضرر (كما هو الحال بالنسبة لطبيعة الدعوى الجماعية). يمكن لشركتك على الأرجح تحمل خسارة سجلات 10 حيث أنه من غير المحتمل أن يؤدي خرق هذا الحجم إلى رفع دعوى أمام المحكمة. ومع ذلك ، لا يمكن معالجة فقدان السجلات المالية لـ 100,000. على سبيل المثال ، الهدف دفعت مؤخرًا تسوية بمبلغ 18.5 مليون دولار إلى حكومات الولايات المختلفة لخرق بيانات 2013 التي تنطوي على ملايين من سجلات بطاقات الائتمان.
من الناحية الجوهرية ، فإن القانون يتعلق بالسابقة بقدر ما يتعلق بما هو مكتوب في الكتب ، لذلك دعونا ننظر إلى ما نعرفه من الانتهاكات والحالات السابقة:
تتحمل الشركات والمواقع الإلكترونية مسؤولية تجاه عملائها وعملائها. وهذا هو الحال بشكل خاص في بعض المجالات ، مثل الرعاية الصحية والقانون ، حيث كان لسوء التعامل مع السجلات والسرية عواقب بعيدة قبل عصر الإنترنت. لا تزال هذه القواعد سارية ، وإذا كان موقع الويب الخاص بك يعمل في حقول حساسة ، فيجب عليك معرفة ما يمكنك القيام به وما لا يمكنك القيام به. القانون واضح.
أما بالنسبة للآخرين ، فإن المياه لا تزال غامضة فيما يتعلق بمدى المسؤولية ، حتى الآن فقط. في المملكة المتحدة ، تتزايد المستوطنات والغرامات. تشريعات جديدة في الاتحاد الأوروبي ، بمجرد دخولها حيز التنفيذ ، سوف ينزل بقوة على الشركات ، ويحتمل أن تفرض بلايين الدولارات على شكل غرامات على الشركات التي لا تحمي معلوماتها بشكل كافٍ وتجد نفسها في الطرف الخطأ من خرق البيانات.
ما الذي يمكن أن نتوقعه من الولايات المتحدة في هذا الشأن؟ هذا قليل من عدم وجود تشريع صريح في هذا الشأن. يتم رفع الدعاوى تلقائيا تقريبا عندما يكون هناك خرق للبيانات على نطاق واسع ، ولكن هذا أمر متوقع عندما يرى المحامون علامات الدولار وفرصة لكسب بعض الدعاية. بدلاً من ذلك ، تم وضعه على أساس كل حالة على حدة ، مما أدى بنا إلى النظر في أمثلة أخرى.
تحدث خروقات البيانات بشكل متكرر وغالباً ما يبدو أنها تعني القليل جدًا.
ومن المرجح ألا يكون العديد من الدعاوى القضائية من المستهلكين ناجحة للغاية ، لأن الإصابات المحتملة التي تنزل عن الخط من سرقة الهوية لن تصمد كحجة قوية. يجب أن يكون هناك دليل على إصابة فعلية أو وشيكة ، والتي يصعب تقديمها فورًا بعد خرق البيانات. هذا قد يتغير ، ولكن يبدو أن الأمر كذلك حتى الآن.
يعرف معظم المتسللين والمجرمين الإلكترونيين أفضل من تجربة البيانات المكتسبة حديثًا ، والعديد منهم يبحثون ببساطة عن شخص ما لشراء البيانات الخاصة بحلقات سرقة الهوية (من غير المحتمل أن يستخدم أحد المخترقين ملايين أرقام بطاقات الائتمان). وحتى في هذه الحالة ، فإن معظم سرقة الهوية لن تتم سرقتها في وقت واحد ، وهذا يعني أنه من الصعب تنظيم الدعوى الجماعية.
على سبيل المثال ، كان لدى ويندي دعوى جماعية ضدهم ، لكن تم رفض القضية في نهاية المطاف. ذكرت المحكمة أن الأضرار لم تكن كافية ، وبما أن هذه التعويضات تم تعويضها ، فإن القضية لم تقف أمام القانون. أكثر إثارة للاهتمام ، وجدت المحاكم رسوم احتيالية بسيطة على بطاقة الائتمان لم تكن كافية لتسدد الأضرار.
كمثال على دعوى الدعوى الجماعية التي نفذت ، فاز عملاء نيمان ماركوس بدعوى بقيمة $ 1.6 مليون دولار ضد الشركة بعد التأكد من فشل بائع التجزئة في توفير الحماية المناسبة. في حين أن هذه شركة كبيرة وليست مجرد موقع ويب ، إذا كنت تدير عملًا تجاريًا ، فهذه رسالة واضحة أنه قد لا يتم التسامح مع الإهمال.
الحكومة قد ذهبت بالفعل بعد شركات مثل ويندهام و تيراكوم لفشل في حماية المعلومات بشكل صحيح. بعض الأمثلة على الجرائم تشمل:
بالإضافة إلى ذلك ، طلبت الحكومة من الشركات تنفيذ إجراءات أمنية أفضل ، مما أضاف تكاليف إضافية أعلى الغرامات.
كما ذكرنا سابقًا فيما يتعلق بالسجلات الصحية ، HIPAA (أو ما يعادلها) سيتم فرض إذا وجدت أن تنتهك.
في الآونة الأخيرة ، كانت هناك سلسلة من خروقات البيانات الصحية رفيعة المستوى سواء في الولايات أو في الخارج ، وسيكون من الغباء الاعتقاد بأنه لن يكون هناك ضغوط متزايدة للتكليف بإنفاذ أكثر صرامة وخلق عقوبات أشد في العصر الرقمي. إذا كان موقعك على الويب مرتبطًا بالرعاية الصحية ، فعليك التفكير في مساعدة الأمان الإلكتروني المهنية.
كما سيتم الاحتفاظ بالسجلات المتعلقة بالإدارة المالية المباشرة أو المعلومات السرية الأخرى على مستوى عالٍ. فشل Morgan Stanley في حماية معلومات العميل وخسرت $ 1 مليون دولار مقابل ذلك.
بالإضافة إلى ذلك ، يجب ملاحظة أن شروط العقد أو أي ظروف ملزمة قانونًا سيكون لها ثقلها في محكمة قانونية. إذا وافق عملك على الحفاظ على بعض المعلومات آمنة ، فأنت مسؤول قانونًا عن الحفاظ على الأمان ، بغض النظر عن سوابق أخرى.
في الولايات المتحدة ، تختلف القوانين من ولاية إلى أخرى فيما يتعلق باستخدام التكنولوجيا ومسؤولية استخدام موقع الويب والخصوصية. لكل ولاية قوانين بشأن الكتب المتعلقة بالجرائم الإلكترونية ، وإن كانت هناك اختلافات في العقوبات والمعايير.
قد يكون الأمر أكثر تعقيدًا إذا كنت تتعامل مع حادث دولي. ليس من السهل فهم المستأجرين في القانون الدولي. وينطبق هذا بصفة خاصة على القوانين المتعلقة بمسؤولية الشركات ، بل وأكثر من ذلك عندما يتعلق الأمر بقوانين جديدة نسبياً تتعلق بالتكنولوجيا.
وكما هو مذكور ، فإن الأنظمة القانونية تعمل بنفس السوابق القانونية كما في التشريعات ، ولم تكن هناك سوابق كثيرة تم وضعها في هذا المجال من القانون. أنت لا تريد أن تكون حالة اختبار ، إما لأن الأشخاص سوف يربطون موقعك بانتهاك للبيانات ، سواء كنت مسؤولاً أم لا. يكاد يكون من المستحيل التعافي من هذا النوع من الضرر الذي لحق بصورتك.
يمكن تخفيف مخاطر مسؤوليتك ، على الرغم من ذلك ، حتى لو وجدت نفسك في النهاية الخاطئة للاختراق. إذا كنت مسؤولاً ومفتوحًا بشأن ما حدث ، ولا توجد طريقة معقولة يمكن من خلالها منع الانتهاك ، فمن المحتمل أن تكون في اليمين ويمكن أن تركز على إعادة بناء العلامة التجارية والجمهور لموقعك. كما هو الحال دائما ، تدفع العناية الواجبة توزيعات الأرباح.
باختصار ، يجب عليك القيام بما يلي في أقرب وقت ممكن:
هناك على الأرجح تدابير أخرى يمكنك اتخاذها لحماية نفسك، لكنهم أكثر من الظرفية بحيث يكونوا قادرين على تقديم أي فكرة حقيقية حول هذا السؤال حول المسؤولية. أشياء مثل ما إذا كانت البرامج النصية التي تستخدمها على موقعك الإلكتروني تجعلك ضعيفًا (كن حذرًا بشأن الطرق التي تستخدمها لجمع البيانات) ، والبيانات الدقيقة التي تجمعها ومستوى التفاعل الذي تتعامل معه مع جمهورك (قد يكتشف المتسللون اتصالات ومعلومات استقراء من هناك) مسألة عندما يتعلق الأمر بمسألة مسؤولية الأمن الإلكتروني.
بغض النظر عن أفكارك حول مسؤوليتك المحتملة ، ستكون أفضل حالاً إذا كنت تحمي نفسك وتستخدم أي معرفة قد تصادفك. سيستمر هذا الوضع في التغير ، لذا يجب توخي الحذر للتأكد من أنك على علم بأية مخاطر أو قانونية أو متعلقة بالأمن السيبراني. مع الأفكار المناسبة والتفاني ، لا داعي للقلق حول هذه المشكلة.
نبذة عن الكاتب: كاسي فيليبس
Cassie هو مدون التكنولوجيا والأمن السيبراني الذي يكتب بانتظام ل الأفكار الآمنة. يمكنك عادةً العثور عليها للبحث عن اتجاهات جديدة ومحاولة بناء جمهورها. وتأمل أن تساعدك هذه المعلومات في الابتعاد عن التهديدات عبر الإنترنت أثناء بناء نشاطك التجاري.